质量小议35 -- SQL注入

    已经记不得上次用到SQL注入是什么时候了,一些概念和操作已经模糊。
    最近与人聊起SQL注入,重新翻阅,暂记于此。

    重点:敏感信息、权限过大、未脱敏的输入/输出、协议、框架、数据包、明文、安全意识

  1. SQL
    - Structured Query Language,结构化查询语言
    - 数据库操作指令集,包括了所有对数据库的操作
    - 数据定义、数据操纵、数据查询、数据控制、事务控制以及嵌入式SQL语言的使用规定组成。
      * 数据定义,DDL,定义数据库的逻辑结构(数据库、基本表、视图、索引)
      * 数据操纵,DML,包括插入(insert)、删除(delete)、更新(update)操作
      * 数据查询,DQL,包括数据查询(select)操作
    ,CRUD:增加(Create)、读取(Read)、更新(Update)、删除(Delete)
      * 数据控制,DCL,用户访问数据的控制赋权和回收
      * 事务控制,TCL,事务的提交与回滚
  2. 什么是SQL注入
    - SQL注入,SQL Injection
    - SQL 注入是一种常见的安全漏洞,是一种网络安全攻击方式
    - 出现在数据库交互应用程序中,来自系统操作者非法的数据库输入
    - 将非授权的/恶意的SQL代码加入到应用程序SQL操作中,形成非授权的SQL操作
    - 执行未经授权的数据库操作(分析/查询/删除/更新)
    - 导致数据库信息泄漏、丢失,造成客户信息被非法使用
  3. SQL注入的危害
    目的:获取非正当利益,损害客户正当收益
    - 数据泄露,绕过/猜解系统身份验证,非法获取客户数据库信息(敏感信息)
    - 数据篡改,更改或破坏客户数据库信息存储
    - 数据攻击,清除数据库数据或永久的删除数据库存储结构
  4. SQL注入存在的可能性
    重要:系统开发者安全意识不强,造成SQL注入的安全漏洞存在
    - SQL组装过程中暴露了系统敏感信息接口
    - 系统未对用户输入进行安全校验
    - 使用动态拼装sql,参数以明文形式(未做加密)出现在URL链接中
    - 未做权限限制,使用管理员权限(权限大,未分级)作为应用程序数据库连接
    - 应用系统传输和显示信息未加密、未脱敏,特别是重要的用户、权限信息
    - 应用程序异常信息未经过滤,使用后台(服务器/数据库)返回值,错误提示过分精确
  5. 数据传输交互过程

    - 数据由输入起,经业务逻辑处理后,到数据库获取 合理 数据
    - 输入包括:前台页面输入、选择,触发数据查询、更新、删除操作;后台未经处理的代码信息,页面源代码展示
    - 数据包括:正常过程数据 和 异常系统访问数据
    - 数据SQL注入安全过滤
      * 按程序设计要求,数据输入、业务逻辑、数据访问都应对数据获取的权限、合法性、合理性进行控制和处理
      * 返回数据同样需经过加密或脱敏处理后才会被传送并显示给用户
      * 每个阶段对数据的安全性处理会有交集和重叠,但不允许出现缺失
  6. SQL注入方式
    重点:将外部输入 与 系统数据处理SQL结合,构成新的SQL,以“欺骗”数据库,获取非法/正常不可得的数据
    - 输入类型:数字、字符
    - 布尔,数据处理为真 或 假,以绕过数据库验证
      * 1=1 真   或   1=2 假,and 或 or 构成新SQL形成SQL注入
      * ‘ 和 “ 字符串处理
      * 注释符处理
      * 通配符处理:* % ? $(不同类型数据库会有不同)
      * 模糊查询:like, in, exit......
      * union 合并新的SQL到系统SQL
    - 试错或盲注(通过输入后系统返回错误提示对数据库数据结构和存储进行猜测)
      * 注动试错引发数据库错误,利用系统异常返回值对数据库进行猜测
      * 数据库查询函数
        > 表的列数: .... order by 1(替换不同数字,得到真假分界限)
        > left / right / length(列名)=4(替换不同数字,得到真假分界限)
  7. 如何避免SQL注入
    重点:破坏 / 避免新的输入 与 系统SQL构成有效的、可执行的新SQL,加密,避免明文SQL
    - 特殊字符处理:使用正则表达式对数据保留字符进行处理,如 特殊字符(',"),通配符(* % ? $),系统函数(like,union,in,length)
    - 参数化数据输入:数据输入后,经put / get / post处理,需增加转译或加密处理,通过占位符形式避免真正的输入做为参数直接被SQL引用,特别是以明文形式展现给系统操作者
    - 输入验证:前台UI、业务逻辑、数据库存取,各数据处理阶段分别、独立的对输入数据进行有效性、安全性验证,通过层层过滤增强SQL数据处理的安全性
    - 减少手动拼接SQL:使用数据处理框架(ORM关系映射,如hibernate)、存储过程,将数据集中处理、打包后处理及返回结果
    - 权限最小化:避免数据库管理员帐号在系统应用的直接使用,将数据增、删、改、查分配给不同的系统用户提供给系统接口调用
    - 安全扫描:开发者的代码安全意识,安全扫描以对代码进行全面安全测试
  8. SQL注入代码示例
    这个。。。后续有时间再研究后补充
    - 对SQL注入的了解只是皮毛
    - 对SQL注入的开发和测试已经是很久之前的事情,并不深入
    - 安全扫描工具的强大,使得代码安全错误可以按扫描方案进行更新
    - 安全从架构、设计开始。。。有编码的安全规范,使用成形框架,安全意识真的弱
    - 代码安全是个大问题,却被忽视

select * from users wher username = 'test'
select * from users wher username = 'test' or 1=1 order by 3

参考

  • SQL 注入 - SQL Server | Microsoft Learn
  • sql注入 - 知乎
  • Sql注入基础原理介绍 - 知乎
  • 安全测试 | SQL注入(SQL Injection)技术 - 知乎

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/196855.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

力扣124. 二叉树中的最大路径和(java DFS解法)

Problem: 124. 二叉树中的最大路径和 文章目录 题目描述思路解题方法复杂度Code 题目描述 二叉树中的 路径 被定义为一条节点序列,序列中每对相邻节点之间都存在一条边。同一个节点在一条路径序列中 至多出现一次 。该路径 至少包含一个 节点,且不一定经…

Nacos:现代微服务架构中的动态服务发现和配置管理

Nacos:现代微服务架构中的动态服务发现和配置管理 在当今快速发展的微服务架构中,服务的动态发现和配置管理成为了关键需求。Nacos,作为一个开源项目,应运而生,提供了一种高效、灵活的方式来处理这些挑战。本博客将深…

【C++】类和对象——const修饰成员函数和取地址操作符重载

在上篇博客中,我们已经对于日期类有了较为全面的实现,但是,还有一个问题,比如说,我给一个const修饰的日期类的对象 这个对象是不能调用我们上篇博客写的函数的,因为&d1是const Date*类型的&#xff…

备战春招——12.04 算法

哈希表 哈希表主要是使用 map、unordered_map、set、unorerdered_set、multi_,完成映射操作,主要是相应的函数。map和set是有序的,使用的是树的形式,unordered_map和unordered_set使用的是散列比表的,无序。 相应函数…

【Java】类和对象之超级详细的总结!!!

文章目录 前言1. 什么是面向对象?1.2面向过程和面向对象 2.类的定义和使用2.1什么是类?2.2类的定义格式2.3类的实例化2.3.1什么是实例化2.3.2类和对象的说明 3.this引用3.1为什么会有this3.2this的含义与性质3.3this的特性 4.构造方法4.1构造方法的概念4…

【VRTK】【VR开发】【Unity】10-连续移动

课程配套学习资源下载 https://download.csdn.net/download/weixin_41697242/88485426?spm=1001.2014.3001.5503 【概述】 连续移动与瞬移有如下不同: 连续移动不容易打断沉浸对于新手或者不适应者来说更容易晕动 我对玩家的建议:连续移动前后左右可以用摇杆,转向用自己…

低代码如何降低门槛、快速交付、实现可持续IT架构?

目录 低代码开发模式期望达成的目标 1.降低开发门槛 2.加快系统交付 3.建立可持续发展的IT架构 写在最后 低代码的概念,最早提出的时间是在2014年左右,随后一直处于上升期,随着前两年阿里、腾讯的相继入场,竞争逐步加大。低代…

设计简单高效的短链系统

目录 引言 1. 短链系统的原理 1.1 长链接生成短码 1.2 短码映射到长链接 1.3 短码重定向 1.4 过期短 URL 清理 2. 设计与实现 2.1 数据存储 2.2 短码生成 2.3 接口设计 2.4 安全性考虑 2.5 访问性能优化 引言 在当今数字化时代,人们对信息的分享需求不断…

市场缺口投资者应该怎么做? 昂首资本一招就能盈利

当在市场交易分析中,投资者发现市场缺口或者价格缺口的时候, 昂首资本问各位投资者应该怎么才能抓住机会盈利一波。 其实在技术分析中的这个术语指的是:前一根棒线的收盘价和下一根棒线的开盘价之间有差距的情况。例如,当做市商将…

【SpringBoot系列】SpringBoot时间字段格式化

💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…

Allegro无法模块复用的解决办法

Allegro无法模块复用的解决办法 在用Allegro做PCB设计的时候,模块复用是使用的比较频繁的功能,对于有相同模块的单板,可以节省大量的时间。 模块复用的功能不细说,具体参考以前的文章。 有时会遇到模块复用的时候出现如下报错 无法匹配,有时如果因为Device而无法复用,就…

Boost:内存映射文件

内存映射文件,是将一个文件全部或部分映射到进程的内存地址空间中,完成映射后,进程可以直接通过映射后的内存地址的读写完成对硬盘上文件的读写。 内存映射文件的好处在与,通过普通的read/write系统调用,需要先通过文件系统和驱动程序将硬盘的数据拷贝到内核空间中,然后…

【算法集训】基础数据结构:一、顺序表(上)

顺序表是最基础的数组结构,所有数据都按顺序存储。 第一题 1464. 数组中两元素的最大乘积 https://leetcode.cn/problems/maximum-product-of-two-elements-in-an-array/description/ 第一种:常规解法,遍历两次数组根据条件比较出最大的即可…

PTA 7-229 sdut-C语言实验- 排序

给你N(N<100)个数,请你按照从小到大的顺序输出。 输入格式: 输入数据第一行是一个正整数N,第二行有N个整数。 输出格式: 输出一行&#xff0c;从小到大输出这N个数&#xff0c;中间用空格隔开。 输入样例: 5 1 4 3 2 5输出样例: 1 2 3 4 5 #include <stdio.h>…

python提取通话记录中的时间信息

您需要安装适合中文的SpaCy模型。您可以通过运行 pip install spacypython -m spacy download zh_core_web_sm来安装和下载所需的模型。 import spacy# 加载中文模型 nlp spacy.load(zh_core_web_sm)# 示例电话记录文本 text """ Agent: 今天我们解决一下这…

Linux CentOS7 安装Docker

CentOS7安装Docker&#xff1a; Docker简介 Docker是一个开源的容器化平台&#xff0c;可帮助开发者轻松地创建、部署和运行应用程序。Docker使开发人员能够在一个独立的容器中打包应用程序及其依赖项&#xff0c;这样他们就可以轻松地将应用程序移植到任何其他环境中。Docke…

基础堆溢出原理与DWORD SHOOT实现

堆介绍 堆的数据结构与管理策略 程序员在使用堆时只需要做三件事情&#xff1a;申请一定大小的内存&#xff0c;使用内存&#xff0c;释放内存。 对于堆管理系统来说&#xff0c;响应程序的内存使用申请就意味着要在"杂乱"的堆区中"辨别"出哪些内存是正在…

Python实现交易策略评价指标-夏普比率

1.夏普比率的定义 在投资的过程中&#xff0c;仅关注策略的收益率是不够的&#xff0c;同时还需要关注承受的风险&#xff0c;也就是收益风险比。 夏普比率正是这样一个指标&#xff0c;它表示承担单位的风险会产生多少超额收益。用数学公式描述就是&#xff1a; S h a r p R…

make -c VS make -f

make 是一个用于构建&#xff08;编译&#xff09;项目的工具&#xff0c;它通过读取一个名为 Makefile 的文件来执行构建任务。make 命令有很多选项和参数&#xff0c;其中包括 -c 和 -f。 make -c&#xff1a; 作用&#xff1a;指定进入指定的目录并执行相应的 Makefile。 示…

聊聊logback的addtivity属性

序 本文主要研究一下logback的addtivity属性 LoggerModel ch/qos/logback/classic/model/LoggerModel.java PhaseIndicator(phase ProcessingPhase.SECOND) public class LoggerModel extends Model {private static final long serialVersionUID 5326913660697375316L;S…